De este modo, AUDEDATOS ofrece un servicio de asesoramiento y consultoría en esta materia, poniendo a su disposición:

Transcripción

1

2 Página 1 de 11 PRESENTACIÓN. AUDEDATOS es una empresa pionera, tanto en la Comunidad Valenciana como a nivel nacional, en la prestación de servicios dirigidos a adecuar entidades, públicas y privadas, a la normativa sobre protección de datos de carácter personal. AUDEDATOS cuenta desde el año con una larga trayectoria, habiendo alcanzando un liderazgo en el sector. AUDEDATOS se ha erigido como uno de los máximos exponentes en el ámbito valenciano, tal y como avalan los numerosos proyectos abordados. Encontrará una muestra representativa de entidades clientes en la parte final del presente documento. De este modo, AUDEDATOS ofrece un servicio de asesoramiento y consultoría en esta materia, poniendo a su disposición: UN EQUIPO MULTIDISCIPLINAR En el que convergen juristas y técnicos informáticos especializados en protección de datos, ofreciéndole así un amplio abanico de posibilidades en soporte, legal y técnico, que se requiere en cada momento. UN SERVICIO INTEGRAL que abarca desde la inscripción de ficheros, hasta la auditoría técnico-legal, pasando por la defensa en procedimientos administrativos y judiciales. UN SERVICIO DE CALIDAD prestado por profesionales de contrastada experiencia y posicionados en cargos representativos, en el ámbito profesional. UN SOFTWARE DE PROTECCIÓN DE DATOS PROPIO (GESDATOS). Una aplicación informática online líder en el mercado. Se trata de una completa herramienta que permite, de forma ágil y sencilla la elaboración y mantenimiento actualizado del Documento de Seguridad, así como efectuar desde la misma las notificaciones de inscripción, modificación y/o supresión de ficheros, entre otras numerosas funcionalidades creadas para la llevanza de las labores derivadas del cumplimiento de la normativa. Encontrará más información al final del presente documento y en la página Web: En función de estas premisas marcamos los objetivos que nos impulsan a seguir trabajando para mejorar, mediante un continuo proceso de formación, y ofrecerle, no solo un completo servicio, sino también dar un servicio de calidad con todas las garantías necesarias. A continuación, presentamos una descripción del contenido y alcance de los servicios de adecuación a la normativa, así como los servicios de Mantenimiento y Auditoria.

3 Página 2 de 11 NORMATIVA. - Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). - Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD). DESCRIPCIÓN Y ALCANCE DE LOS SERVICIOS DE ADECUACIÓN. El servicio a prestar por AUDEDATOS consiste en adecuar el tratamiento de la información de carácter personal de los ficheros titularidad del profesional o entidad privada (sociedad mercantil, cooperativa, asociación, fundación ), entidades sin personalidad jurídica (comunidades de propietarios, comités, etc.), al cumplimiento de la LOPD y RDLOPD. En concreto, los trabajos a llevar a cabo por AUDEDATOS son: FASE I. ASPECTOS JURÍDICOS. 1.- NOTIFICACIÓN E INSCRIPCIÓN DE FICHEROS: De conformidad con los artículos 26 LOPD, 55 y siguientes del RDLOPD, se efectúan los trámites pertinentes ante el Registro General de Protección de Datos: Analizar los sistemas de información, a los efectos de identificar y concebir los ficheros con datos personales. Notificar la inscripción de dichos ficheros al Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos. 2.- CUMPLIMIENTO DEL DEBER DE INFORMACIÓN Y OBTENCIÓN DEL CONSENTIMIENTO: Adaptar los procesos de recogida de datos de carácter personal a fin de cumplir con el deber de información (Artículo 5 LOPD), redactando las cláusulas y avisos oportunos, así como la obtención del consentimiento del titular de los datos, en el caso de que fuese necesario u obligatorio. 3.- REDACTAR LOS PRECEPTIVOS CONTRATOS DE ACCESO O, EN SU CASO, DE PROHIBICIÓN DE ACCESO POR TERCEROS A LOS DATOS PERSONALES CONTENIDOS EN LOS FICHEROS TITULARIDAD DEL CLIENTE: Conforme al artículo 12 LOPD, se redactarán los contratos de acceso a datos por terceros, tales como las asesorías laborales, contable/fiscal o empresas de mantenimiento informático, tanto de equipos como de aplicaciones. En el caso que un tercero preste un servicio sin acceso a datos (servicio de limpieza, vigilancia, mantenimiento de instalaciones, etc.), de conformidad con el Artículo 83 RDLOPD, se articulará el modo de recoger expresamente la prohibición de acceder a los datos personales y la obligación de secreto

4 Página 3 de 11 respecto a los mismos, que el personal hubiera podido conocer, con motivo de la prestación del servicio. FASE II. ASPECTOS TÉCNICOS Y ORGANIZATIVOS: 4.- ELABORACIÓN DEL DOCUMENTO DE SEGURIDAD: Donde se contemplen las medidas de seguridad, técnicas y organizativas, previstas para proteger la información de carácter personal. Así, en cumplimiento del RDLOPD, se contemplarán, entre otros, los siguientes aspectos: Ámbito de aplicación del documento con especificación detallada de los recursos. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido, así como la definición de las Políticas de Seguridad. Identificación de los elementos previstos para asegurar la inviolabilidad de la red informática. Identificación e inventariado de los soportes físicos que contienen datos de carácter personal. Identificación e inventariado de las aplicaciones que realizan tratamiento de datos. Procedimiento de notificación, gestión y respuesta ante las incidencias. Procedimiento de realización de las copias de respaldo de los datos. Mecanismo de identificación y autenticación, de los usuarios para el acceso autorizado a los sistemas de información. Funciones y obligaciones del personal. Identificación del Responsable del Fichero y del Responsable de Seguridad. Asignación de tareas a los Responsables de Seguridad. Relación del personal autorizado para el acceso físico a los locales donde se encuentran ubicados los sistemas de información. Registro de entrada y salidas de soportes informáticos. 5.- REALIZAR UN INFORME DE RECOMENDACIONES TÉCNICAS, EN EL CASO QUE FUERE NECESARIO. FASE III. FORMACIÓN. 6.- FORMAR Y CONCIENCIAR: A los diversos intervinientes en el tratamiento de datos de carácter personal: Formar a los Usuarios del sistema de información acerca de las obligaciones que han de atender para el cumplimiento de la normativa de protección de datos, mediante la entrega de los correspondientes manuales. Formar al/los Responsable/s de Seguridad designados por el CLIENTE, como encargados de coordinar y controlar el correcto cumplimiento de las medidas establecidas en el Documento de Seguridad, mediante la entrega de su correspondiente manual.

5 Página 4 de 11 DESCRIPCIÓN Y ALCANCE DEL SERVICIO DE MANTENIMIENTO. El RDLOPD establece, no solamente, la obligación de redactar el Documento de Seguridad, sino también el mantenerlo actualizado conforme a las variaciones experimentadas en el sistema de información o tratamiento. Artículo 88.7 RDLOPD: El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Asimismo, los tratamientos de datos que se realizan, las cesiones o comunicaciones, las empresas que prestan servicios, etc. cambian. También se modifican las normas que regulan esta materia. Todo ello exige un asesoramiento constante en esta materia. CONTENIDO DEL SERVICIO DE MANTENIMIENTO. AUDEDATOS desarrolla un servicio de mantenimiento útil y práctico para el CLIENTE, que le evita todas aquellas labores asociadas con la materia, al ser cubiertas desde nuestra consultora. El servicio de mantenimiento consiste, entre otras tareas, en: Inscripción en el Registro General de Protección de Datos de nuevos ficheros, así como la modificación y, en su caso, supresión, de los ficheros inscritos. Redacción de nuevas cláusulas de recogida de información conforme a las necesidades manifestadas por el CLIENTE. Redacción de nuevos contratos de acceso o prohibición de acceso a datos personales a terceros, que sean necesarios. Atención de consultas y apoyo al Responsable del Fichero o Tratamiento, en las dudas que se suscitaran. Atención de solicitudes de los interesados en el ejercicio de los derechos de acceso, cancelación, modificación y oposición. Revisiones periódicas a los efectos de verificar el cumplimiento de la LOPD y del RDLOPD. Actualización periódica del Documento de Seguridad, de acuerdo con los cambios realizados en la organización como en la normativa vigente. Asistencia ante una posible inspección de la Agencia Española de Protección de Datos. Formación continua del personal (importante para cuando haya nuevas incorporaciones o novedades legislativas, jurisprudenciales o de cambio de criterios de la Agencia) Recepción del boletín AUDEDATOS sobre noticias y novedades en la materia.

6 Página 5 de 11 SERVICIO DE AUDITORÍA EN PROTECCIÓN DE DATOS. I.- INTRODUCCIÓN. La normativa prevé con carácter obligatorio realizar una auditoría bienal del sistema de información o tratamiento, en el que se conserva los datos de carácter personal. Cabe decir, que está auditoria sólo obliga a la revisión o fiscalización de las medidas de seguridad, técnicas y organizativas, relativas tanto a los ficheros automatizados (informáticos) como a los no automatizados (en papel). AUDEDATOS ofrece también dentro del servicio de auditoría la revisión de los aspectos legales (Notificación e inscripción de ficheros; Deber de información y consentimiento; Contratos de acceso a datos por cuenta de terceros y de prohibición de acceso). A pesar de no ser objeto de la auditoria prevista y fijada por la norma, el incumplimiento de estas obligaciones origina el mayor número de infracciones y consecuentes expedientes sancionadores. II.- DESCRIPCIÓN Y ALCANCE DEL SERVICIO DE AUDITORIA. De acuerdo con lo anterior, para un control integral del cumplimiento de las obligaciones, la prestación del servicio de auditoría consistirá en las siguientes labores: A.- AUDITORIA SOBRE ASPECTOS JURÍDICOS. Se realizará una revisión de los siguientes aspectos: Principios rectores del tratamiento de datos: Calidad, deber de secreto). Notificación e inscripción de ficheros: Revisión de los ficheros inscritos, a los efectos de valorar la creación de otros, modificación o supresión de los existentes. Deber de información y consentimiento: Revisión de los procesos de recogida de datos personales -formularios o cuestionarios, electrónicos o en papel, a fin de comprobar la existencia de texto informativo, conforme al Artículo 5 LOPD. Contratos de acceso a datos por cuenta de terceros: Revisar la suscripción de contratos con proveedores de servicios que tengan acceso a datos, para comprobar que se recogen las obligaciones del Artículo 12 LOPD. Contratos de prohibición de acceso y deber de secreto: Comprobar la formalización de contratos con proveedores de servicios que, sin tener acceso a datos, realizan sus labores en las instalaciones o dependencias de la entidad, comprobación de que se recogen las obligaciones del Artículo 83 RDLOPD. Los resultados de la labor de revisión y fiscalización formarán parte del informe de auditoría.

7 Página 6 de 11 B.- AUDITORIA SOBRE MEDIDAS TÉCNICAS Y ORGANIZATIVAS. De conformidad con los Artículos 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD): A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos, se someterán al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. [ ] Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas. NOTA IMPORTANTE: Esta obligación, fijada en la normativa, sólo está prevista para los ficheros de nivel Medio y Alto. De acuerdo con los citados preceptos, únicamente es obligatorio practicar la auditoría sobre el cumplimiento de las medidas, técnicas y organizativas, previstas en el RDLOPD. En concreto, se ha de abordar el análisis de las medidas señaladas en la tabla mostrada en la siguiente página. Los resultados de la labor de revisión y fiscalización, que se generen durante el proceso de auditoría, se incorporarán al preceptivo informe de auditoría, incluyendo las conclusiones del auditor. C.- EMISIÓN DEL INFORME DE AUDITORIA DE MEDIDAS TÉCNICAS Y ORGANIZATIVAS. El informe de auditoría contendrá: Resultado del análisis efectuado. Deficiencias que, en su caso, fueren encontradas y propuesta de medidas correctoras o complementarias. Recomendaciones que, en su caso, se pudieren efectuar. Opinión o conclusiones de los auditores acerca del grado de cumplimiento de la normativa legal. Este informe se pondrá a disposición del Responsable de Seguridad, a los efectos de elevar después las conclusiones al Responsable del Fichero o Tratamiento para que adopte las medidas correctoras adecuadas.

8 Página 7 de 11 MATERIA MEDIDAS DE SEGURIDAD Responsable de Seguridad Personal Incidencias Control de Accesos. Identificación Autenticación Gestión de Soportes Copia de Respaldo Criterios de archivo Almacenamiento Custodia de soportes Copia o reproducción Designar a uno o varios responsables de seguridad (encargado de coordinar y controlar las medidas del documento.) Definición de funciones y obligaciones de los usuarios, autorizaciones delegadas, formación de los usuarios. Registro de incidencias. Procedimiento de notificación y gestión Anotar procedimientos de recuperación, persona que ejecuta y datos restaurados. Autorización del Responsable para recuperación. Relación de usuarios. Controles de acceso. Mecanismos que eviten el acceso no permitido. Concesión de permisos por personal autorizado. Mismas condiciones para personal ajeno. Control de acceso físico a los locales. Registro de accesos. Revisión mensual del Registro por el Responsable de Seguridad. Control de accesos autorizados. Identificación accesos a documentos accesibles por varios usuarios. Identificación y autenticación personalizada. Asignación, distribución y almacenamiento ininteligible de contraseñas. Periodicidad del cambio (<1 año) Límite de intentos reiterados de acceso no autorizado. Inventario de soporte. Identificación de información que contiene. Acceso restringido al LFA. Autorización de salidas en soportes. Medidas para el transporte y desechado. Registro de entrada y salida de soportes Sistema de etiquetado confidencial. Cifrado de datos en la distribución. Cifrado de información en soportes portátiles fuera de las instalaciones (Adopción de medidas alternativas). Copia de respaldo semanal. Procedimiento de copia y recuperación. Verificación semestral. Reconstrucción de datos a partir de la última copia. Pruebas con datos reales. Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos. Realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de derechos. Dispositivos con mecanismos que obstaculicen la apertura Dispositivos en áreas de acceso con puertas con llave. Diligencia de los usuarios durante la custodia y transporte de los documentos para evitar accesos no autorizados. Solo por usuarios autorizados. Proceder a la destrucción de las copias desechadas. Cada dos años, interna o externa. Realizarse ante modificaciones sustanciales. Verificación y control de adecuación de medidas. Informe de detección de deficiencias Auditoria y medidas correctoras. Análisis del Responsable y conclusiones al responsable del fichero. Telecomunicación Transmisión de datos a través de redes electrónicas cifrada Traslado de Medidas que impidan el acceso o manipulación. documentación - Los accesos por redes de telecomunicaciones deben garantizar una seguridad equivalente al acceso en modo local. - La ejecución de trabajos fuera de los locales del Responsable o Encargado debe ser autorizada por el Responsable del Fichero, constando en el Documento de Seguridad. - Los ficheros temporales deben cumplir el nivel de seguridad correspondiente y ser borrados una vez han dejado de ser necesarios. - El acceso facilitado a un encargado del tratamiento debe constar en el Documento de Seguridad y debe comprometerse al cumplimiento de las medidas de seguridad.

9 Página 8 de 11 GESDATOS. EL SOFTWARE QUE DIFERENCIA NUESTRO SERVICIO. AUDEDATOS proporciona a los Clientes que contraten los servicios de adecuación y/o mantenimiento, una licencia de uso totalmente gratuita del software de protección de datos GESDATOS. Con el fin de facilitar una gestión práctica y sencilla de las obligaciones derivadas de la normativa, el servicio prestado por AUDEDATOS utiliza y pone a disposición, sin coste, la aplicación informática más demandada y valorada por entidades públicas y privadas para elaborar y mantener actualizado el Documento de Seguridad y otras obligaciones en materia de protección de datos. Más de profesionales de toda España son usuarios de la aplicación. GESDATOS es un software gestado y desarrollado por AUDEDATOS con la colaboración de la Universidad de Valencia d Estudis Generals. Una aplicación informática que está en constante desarrollo, tanto a nivel de contenidos legales, como técnicos. Una evolución progresiva motivada, por un lado, en los cambios legislativos, así como por una ampliación hacia más módulos de gestión, en la búsqueda de la mejora constante del producto, por otro lado, permitir una mayor agilidad y dinamismo en el uso de la herramienta y su aplicación. Con esta aplicación, se evita la ardua labor de redacción del Documento de Seguridad y, sobre todo, el mantener actualizada la información contenida en el mismo. De este modo, se afronta con mayores garantías el proyecto de adecuación a la normativa, sabiendo que llegados al término del proceso, GESDATOS permitirá, en cualquier momento, una rápida y cómoda gestión de modificación o supresión de la información, según los cambios que hayan acontecido en el sistema de información o tratamiento. A continuación se explican, brevemente, las diversas funcionalidades de las que dispone GESDATOS (Más información en Gestión de los datos de la organización. Permite la introducción y actualización de los datos de la organización. 2.- Gestión de ficheros. Permite la identificación e inventariado de los diversos ficheros en la aplicación, su notificación a la AEPD y sus posibles modificaciones o supresiones. 3.- Notificación de ficheros. GESDATOS tiene integrado el sistema de notificaciones telemáticas de ficheros de la Agencia Española de Protección de Datos (aplicativo NOTA ), de modo que permite realizar las notificaciones directamente al Registro General de Protección de Datos. Desde GESDATOS puede efectuar las notificaciones, incluso con certificado digital y de manera múltiple, agilizando ostensiblemente el proceso.

10 Página 9 de Gestión de personal: Usuarios y Responsables. GESDATOS facilita la ardua labor de gestionar el personal con acceso a datos mediante el listado de diferentes figuras, según el siguiente esquema: Figuras que contempla el RDLOPD: - Responsable del fichero. - Responsables de seguridad. - Usuarios. Otras figuras opcionales, pero que la práctica demuestra su utilidad: - Gestores de fichero concreto. - Perfiles de usuario. - Usuarios de atención. 5.- Formación de usuarios. Íntimamente ligado al apartado anterior, GESDATOS permite la generación de manuales de usuario, dependiendo del rol que se haya definido en el apartado de gestión de personal: Responsables de Seguridad, usuarios y usuarios de atención. 6.- Gestión de copias de seguridad. Permite identificar el procedimiento de copias de seguridad aplicadas en el/los sistemas de información de la propia organización y/o por terceros prestadores del servicio, así como el procedimiento para la recuperación o restauración de datos. 7.- Gestión de contraseñas. Permite identificar el control de acceso lógico a nivel de red y aplicaciones del sistema, así como de los ficheros en tratamiento. 8.- Gestión de soportes. Incluye una solución informática para la gestión de entrada y salida de soportes, inventariado y establecimiento de procedimientos de reutilización y desechado de los mismos. 9.- Inventariado de Encargados del Tratamiento. La obligación legal de listar en el Documento de Seguridad las diferentes figuras del encargado del tratamiento, hace que GESDATOS permita esta función, incluyendo los campos exigidos, tales como finalidades previstas, fechas de inicio y fin de acceso, etc Disco duro virtual. GESDATOS dispone de un disco duro virtual, en el que se puede mantener un repositorio de la documentación generada en cuanto a la LOPD, de manera que facilita y centraliza esta labor Gestión de incidencias. Permite la gestión de las incidencias LOPD, desde su declaración, resolución y listado de incidencias resueltas y no resueltas. Asimismo, incluye una herramienta de notificación de incidencias por los usuarios, para su posterior gestión por parte del Responsable de Seguridad.

11 Página 10 de 11 DONDE ESTAMOS. Avenida de las Cortes Valencianas, 50. (Junto al Hotel Hilton Valencia y Palacio de Congresos). COMO LLEGAR. Para acceso, pulsar 103 Transporte público. En coche. Metro: Línea 1 - Parada Beniferri Tranvía: Línea 4 - Parada Palau de Congressos Autobús: Líneas 62 y 63 (Parada Corts Valencianes - Palau Congresos). Desde : Autovía A3. Desde Barcelona: Autopista AP-7.